[Postfixbuch-users] Spamversender

[Kai Fürstenberg]

Norbert Gerhards schrieb am 17.11.2009 10:57:
> Nur weil die ganze Literatur voll ist mit
> mynetworks = 123.456.789.0/24 127.0.0.0/8 etc.
> Beispielen, tendiert man als Anfänger dazu,
> dass als gesicherten Stand einfach zu übernehmen.

Es ist ja auch nicht falsch, das so zu machen. Vielleicht unlogisch oder 
unsicher, aber eben nicht falsch. Ich kann auch einfach ein
iptables -A INPUT -i eth1 -s 127.0.0.0/8 -j DROP
nehmen, dann kann ich mir die Gedanken zu mynetworks auch (vorerst) 
sparen. Vielleicht geht die Literatur auch von einer derartigen 
iptables-Regel von vornherein schon aus.

> Ich beschränke mich in Zukunft pro Server NUR auf
> die IPs, die auch darauf verdrahtet sind.  ;-) 

Du könntest den Mailversand zwischen den Servern z.B. mit smtp-auth 
absichern, dann kannst du mynetworks nur auf 127.0.0.1 einstellen (wem 
sollte man mehr vertrauen als lo). Oder du verdrahtest die Server 
untereinander in einem separaten Netz. Es gibt etliche Möglichkeiten.

Aber das ist Infrastruktur, und jeder muss sich seinen eigenen Plan 
machen, wie er diese aufbaut. In die Planung gehören natürlich auch 
Überlegungen zu möglichen Angriffspunkten rein und wie diese bestmöglich 
eliminiert werden können. IP-Spoofing ist vielleicht nicht der 
aktuellste, aber es ist einer.

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws